WISERS：一種透過無線充電線圈嘯叫與磁場擾動的非接觸式旁路攻擊

目錄

1. 簡介

無線充電，特別是 Qi 標準，已成為現代智慧型手機中無所不在的技術。本文介紹一種新穎的非接觸式旁路攻擊，名為 WISERS（無線充電器感測系統）。與先前需要實體存取或設備已遭入侵的攻擊不同，WISERS 利用了無線電力傳輸過程中產生的兩種固有物理現象——線圈嘯叫與磁場擾動——來推斷正在充電的智慧型手機上細微的使用者互動，例如密碼輸入與應用程式啟動。

2. The WISERS Attack Framework

WISERS 的運作原理，是將智慧型手機功耗變化（由使用者輸入時螢幕內容改變所觸發）與充電器感應線圈發出的可測量物理訊號相互關聯。

2.1 物理現象的利用

• 線圈嘯叫：由於交流電波動導致線圈產生磁致伸縮與壓電效應，從而產生的可聽噪音。
• 磁場擾動：根據安培定律，充電器線圈中變化的電流會導致局部磁場強度與模式的改變。

2.2 三階段攻擊流程

1. 感測與配置：測量環境特徵（例如初始電量）以校準攻擊。
2. 介面切換推斷：利用線圈嘯叫的模式來偵測手機不同畫面/介面之間的轉換。
3. 活動內部推斷：分析磁場擾動，以辨識介面內的特定動作（例如在軟體鍵盤上的按鍵輸入）。

3. 技術細節與數學模型

核心物理原理是安培力定律。載流導體（線圈）在磁場中所受的力（$\vec{F}$）為：

$\vec{F} = I (\vec{L} \times \vec{B})$

其中 $I$ 為電流，$\vec{L}$ 為導體的長度向量，$\vec{B}$ 為磁場。使用者互動會改變智慧型手機的功耗（$\Delta I$），從而改變充電器線圈中的電流。$I$ 的變化調制了力 $\vec{F}$，導致微小的物理振動（線圈嘯叫）以及發射磁場 $\vec{B}$ 的擾動。

此攻擊本質上是執行跨模態訊號分析，將這些物理訊號調制（$S_{whine}(t)$, $S_{mag}(t)$）映射回引發它們的使用者互動事件（$E_{user}$）。

4. 實驗結果與評估

使用主流智慧型手機與商用現成無線充電器進行了廣泛測試。

4.1 準確度與效能指標

該系統在推斷離散與連續輸入方面展現了高準確度：

• 螢幕解鎖密碼：對於數字 PIN 碼，推斷準確度超過 90.4%。
• 應用程式啟動偵測：在識別從主畫面開啟哪個應用程式方面，成功率很高。
• 按鍵時序：能夠辨識軟體鍵盤上按鍵之間的時序模式。

圖表說明：一個假設的長條圖，Y 軸為「攻擊成功率 (%)」，X 軸為「推斷資訊類型」（密碼、應用程式啟動、按鍵），所有長條均高於 90% 標記。

4.2 對影響因素的韌性

WISERS 針對各種干擾因素進行了測試，並展現出對以下情況的韌性：

• 不同的智慧型手機型號與充電器品牌。
• 變化的環境噪音水平（針對聲學感測）。
• 存在其他電子設備造成輕微磁場干擾。

5. 分析框架與案例範例

情境：推斷螢幕解鎖時的 4 位數 PIN 碼。

1. 訊號擷取：攻擊者的設備（例如另一支配備適當感測器的智慧型手機）在受害者嘗試解鎖時，放置在 20 公分內，錄製音訊（透過麥克風）與磁場數據（透過磁力計）。
2. 特徵擷取：處理音訊訊號以分離出線圈嘯叫成分。過濾磁場數據，以突顯與功耗變化相對應的低頻範圍擾動。
3. 模式匹配與推斷：系統將擷取出的訊號特徵與預先訓練的模型進行關聯。識別出四次明顯的磁場擾動「爆發」，每次爆發都伴隨著特定的聲學特徵變化，並將其映射到 PIN 碼的四次數字按壓。序列與時序揭示了密碼。

6. 核心洞見與分析師觀點

核心洞見：WISERS 不僅僅是另一種旁路攻擊；它鮮明地展示了數位安全的物理性。它將電磁感應——一個為便利性而設計的過程——的基本、不可避免的物理原理，武器化為一種強大的監控工具。此攻擊的巧妙之處在於其被動性；它不注入惡意軟體或攔截數據，它僅僅是聆聽並感受設備與其充電器之間的物理對話。

邏輯流程：此研究的邏輯無懈可擊。它從一個眾所周知的工程困擾（線圈嘯叫）和一個基本定律（安培定律）出發，觀察到它們如何被系統負載調制，並嚴謹地將此調制追溯回使用者誘發的負載變化。三階段框架清晰地將問題分離：校準、宏觀情境（畫面切換）與微觀情境（按鍵輸入）。這種模組化讓人聯想到其他領域成功的攻擊框架，例如 Bernstein 在「Cache-timing attacks on AES」等著作中概述的基於快取的旁路攻擊系統性方法。

優點與缺陷：其優點在於其令人不安的實用性——使用商用現成硬體、無需入侵設備，並能在先前被認為安全的假設下（電量 >80%）運作。然而，其缺陷是目前依賴於近距離（約 20 公分）。雖然在擁擠的咖啡廳或辦公室是重大威脅，但它並非遠端、網路規模的攻擊。然而，對於針對性的間諜活動而言，這是一個特性而非缺陷。一個更關鍵的缺陷是評估聚焦於受控環境。在現實世界中，若有多個設備同時充電或存在強烈的環境磁場（例如靠近工業設備），可能會顯著降低效能，這也是其他感測式旁路攻擊（如聲學鍵盤攻擊）所面臨的挑戰。

可行洞見：對於資安社群而言，這對物聯網和行動產業是最高級別的警報。緩解措施必須超越軟體層面。硬體設計師需要將電磁與聲學旁路攻擊防護視為設計要求。潛在的對策包括：(1) 主動降噪：在充電器中嵌入致動器，發射反相信號以抵消線圈嘯叫。(2) 功耗負載混淆：在閒置期間引入隨機、微小的功耗波動，以掩蓋使用者誘發的變化，類似於 Tor 等網路匿名系統中的流量塑形。(3) 屏蔽：在充電器外殼中加入磁屏蔽材料，儘管這可能影響效率。無線充電聯盟等標準制定機構必須緊急更新 Qi 規範，將旁路洩漏測試納入其中。

7. 未來應用與研究方向

• 延伸範圍感測：研究更靈敏的感測器（例如高精度磁力計）或訊號放大技術，以增加有效攻擊距離。
• 跨設備推斷：探索磁場「足跡」是否足夠獨特，以識別特定應用程式的使用，甚至瀏覽器內的網站瀏覽活動。
• 防禦性機器學習：開發裝置端或充電器端的機器學習模型，能夠偵測正在進行的、類似 WISERS 的窺探嘗試的特徵訊號模式，並觸發警報或對策。
• 更廣泛的目標範圍：將相同原理應用於其他無線充電設備，如真無線耳機、智慧手錶，甚至未來的筆記型電腦，這些設備可能擁有更豐富的使用者介面。
• 與其他旁路攻擊整合：將此旁路攻擊的數據與其他來源（例如來自市電的功耗分析、熱輻射）融合，以進行更穩健、更詳細的使用者側寫，這是一種在旁路攻擊研究中日益受到關注的多模態方法。

8. 參考文獻

1. Wireless Power Consortium. "The Qi Wireless Power Standard." [Online]. Available: https://www.wirelesspowerconsortium.com/
2. Bernstein, D. J. "Cache-timing attacks on AES." 2005.
3. Genkin, D., Shamir, A., & Tromer, E. (2014). "RSA key extraction via low-bandwidth acoustic cryptanalysis." In Advances in Cryptology–CRYPTO 2014.
4. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). "Unpaired image-to-image translation using cycle-consistent adversarial networks." In Proceedings of the IEEE international conference on computer vision (CycleGAN).
5. National Institute of Standards and Technology (NIST). "Side-Channel Attack Testing Methodologies." [Online]. Available: https://csrc.nist.gov/
6. Zhang, Y., et al. "WISERS: A Contactless and Context-Aware Side-Channel Attack via Wireless Charging." In Proceedings of the ... IEEE Symposium on Security and Privacy, 2023. (The source paper analyzed).